Cada vez que los profesionales de riesgos tenían una conversación sobre análisis de riesgos y específicamente cuantificación de riesgos, alguien, inevitablemente, intervenía con superioridad y usaba esta excusa para supuestamente socavar la conversación. El argumento es completamente falso y, sin embargo, seguro como el día y la noche, alguien siempre lo repite.
Mira si puedes encontrarlo en las citas a continuación de los comentarios a una de mis publicaciones de hoy
Si te aventuras a cuantificar el riesgo de pérdida, es mejor que tu precisión sea cercana; de lo contrario, la audiencia tendrá los medios para medir tu inexactitud y, por lo tanto, su confianza en tu programa en general.
¿Entonces utilizarás tu método para predecir tus ataques y pérdidas en ciberseguridad durante los próximos 6 meses y lo publicarás (internamente) para una revisión de auditoría para verificar su precisión?
Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos
Los eventos de choque suelen interrumpir. Las distribuciones y correlaciones históricas cambian de repente. Esos eventos pueden destruir a muchos o enriquecer a los afortunados. Las matemáticas se topan con un muro.
Ninguna distribución predice con precisión si China atacará Taiwán y cuándo. Y, sin embargo, es un riesgo de seguridad genuino. Ni siquiera logró predecir cuándo Rusia atacó Ucrania.
¿Alguna vez has encontrado argumentos similares antes? La excusa tonta suele ser algo así como esto – El modelado de riesgos no es perfecto, no puede predecir eventos raros y catastróficos ni cisnes negros, que no solo son raros y catastróficos, sino también inimaginables.De la manera más irónica posible, esta excusa patética se utiliza para justificar que a veces el análisis cualitativo de riesgos (astrología usando mapas de calor) está justificado. La ironía es que las técnicas de análisis de riesgo cualitativo han sido científicamente probadas como peores que inútiles.
Vamos a traducir esta excusa al inglés sencillo. No utilices las técnicas que no son perfectas en algunas ocasiones para algunas tareas, en su lugar, usa las técnicas que garantizan ser engañosas la mayor parte del tiempo. Consejos sólidos sobre riesgos si me preguntas 🙂
Pero espera, esa ni siquiera es la peor parte. El argumento es en realidad completamente falso por las siguientes razones
Cualquier riesgo es una distribución
Cualquier riesgo en el planeta puede ser representado por una distribución, continua o discreta, acotada o no, sigue siendo una distribución. La distribución puede representar pérdidas, efectos, monetarios o no monetarios, con cola gruesa o no, sigue siendo una distribución. Esto significa que cualquier riesgo puede tener una probabilidad de no tener impacto, alguna probabilidad de que ocurra un efecto pequeño a moderado, alguna probabilidad de que ocurra un efecto grande y una probabilidad mínima de que ocurra un efecto catastrófico.
Si puedes pensar en un riesgo que no encajaría en ninguna distribución conocida, por favor escribe en los comentarios.
Si el riesgo es una distribución, entonces tendrá 3 componentes importantes, de izquierda a derecha:
- efecto esperado (promedio)
- efecto inesperado (p95 o cualquier nivel de confianza es menos promedio)
- cola (efectos más allá del nivel de confianza)
Caballos para cursos, la técnica de cuantificación debe ajustarse al decisión
Los 3 componentes de la distribución nos llevan a una idea importante: aunque el riesgo es una distribución, existen múltiples formas de estimar la distribución, cada una con una precisión diferente. Podría ser un registro básico de riesgos cuantitativos (el rango de la distribución será muy amplio y altamente aproximado) o podría ser un diagrama de lazo cuantitativo (rango más estrecho, todavía bastante aproximado) o un decisión árbol o un modelo hecho a medida (incluso un intervalo aún más estrecho, una buena estimación al nivel de confianza establecido). Cada aplicación tiene sus propios usos. Para simplificar, llamo al registro de riesgo cuantitativo – básico, al lazo de corbata cuantitativo – estandarizado y a los modelos hechos a medida – avanzados.
El principio de asignar a cada tarea el recurso adecuado es muy importante en gestión de riesgos. Implica que el análisis de riesgos debería ajustarse a la decisión a la mano. Por ejemplo, si necesitas agregar los EL para fines de presupuestación, entonces un registro de riesgos cuantitativos está bien. Si necesita probar diferentes opciones de control y mitigación, entonces debe invertir en una diagrama de sombrero de copa, porque el registro de riesgos no está diseñado para esto. Si necesita agregar ULs como entrada en la prueba de estrés de la empresa, entonces nuevamente un registro de riesgos será suficiente. Si estás tratando de ahorrar unos pocos millones en seguros, como lo hicimos el año pasado, entonces tienes que construir un modelo a medida, etcétera, etcétera.
Así que si alguna vez alguien se me acercara para cuantificar un evento catastrófico raro, probablemente no lo representaría como una distribución y simplemente cuantificaría la peor consecuencia plausible, como hacemos con las explosiones para fines de seguros cuando utilizamos ingenieros de riesgos que estiman escenarios de pérdida. Para todo lo demás, está Mastercard, quiero decir, análisis de riesgo cuantitativo 🙂
La mayoría de los modelos cuantitativos están diseñados para funcionar con un CI del 90%, pero no más.
Cuantificaciones de riesgo diferentes para decisiones diferentes y apetitos de riesgo diferentes. Es importante incluir intervalos de confianza y niveles de confianza en la conversación. La mayoría de los modelos cuantitativos son precisos en un intervalo de confianza del 90%, lo que significa que excluyen intencionadamente el 5% de los mejores casos y el 5% de los peores casos. Esto también significa que si alguien quiere usarlos para eventos raros y catastróficos, no funcionarán.
Permítame repetir esta idea muy importante – la mayoría de los modelos están diseñados específicamente de manera que ignoran los peores casos raros catastróficos de cisne negro. Por diseño. Porque conocer la parte central de la distribución, incluso con una aproximación de alto nivel de la cola, puede seguir siendo útil. decisión fabricantes y ahorra un montón de dinero. Ahorramos 13 millones de dólares solo el año pasado con modelos más simples de lo que originalmente anticipé, mira mi RAW2022 talleres sobre esto. De hecho, pasamos intencionadamente de modelos complejos a modelos simplificados. Todavía guardado.
Los modelos con intervalo de confianza del 90% se utilizan para la presupuestación, mitigaciones simples y el día a día. decisión haciendo. NO SE UTILIZAN para pruebas de estrés, manejo de pérdidas catastróficas improbables o continuidad del negocio.
¿Hace que la cuantificación del riesgo sea inútil? No tonto. Simplemente significa que los modelos tienen limitaciones, sobre las cuales los buenos gestores de riesgos son transparentes y las divulgan en la sección de metodología del análisis de riesgos. Y usamos modelos para resolver problemas que pueden resolver, no para resolver todos los problemas bajo el sol. Taleb lo dijo mejor, si hay una posibilidad de ruina, mejor protegerse contra ella.
¿Olvidé alguna otra excusa o argumento? Escribe en los comentarios. Probablemente terminaré agregando esto a este artículo más tarde, tengo que ir a recoger a los niños de la escuela.
Ver otros gestión de riesgos libros
RISK-ACADEMY ofrece cursos en línea
Toma de Riesgos Informada
Aprende 15 pasos prácticos para la integración. gestión de riesgos dentro de decisión creación, procesos de negocio, cultura organizacional y otras actividades!
ISO 31000 Integración Gestión de Riesgos
Alex Sidorenko, conocido por su gestión de riesgos blog http://www.riskacademy.blog, ha creado un programa de 25 pasos para integrar gestión de riesgos dentro de decisión la creación de los procesos centrales del negocio y de la cultura general de la organización.
Gobernanza de Riesgos Avanzada
Este curso ofrece orientación, motivación, información crítica y estudios de casos prácticos para ir más allá de la gobernanza tradicional del riesgo, ayudando a garantizar gestión de riesgos No es un proceso independiente, sino un motor del cambio para el negocio.
No puedes predecir una brecha. Todo lo que puedes hacer es estimar la probabilidad de los puntos en el rango basándote en la información disponible, que desafortunadamente cambia todo el tiempo.
No es tarea de los gestores de riesgos predecir la brecha, la tarea de los gestores de riesgos es probar si una brecha puede tener un efecto significativo en los objetivos (lo tiene) y alertar a los responsables de riesgos para que mitiguen. A veces es necesario estimar EL y UL para determinar el presupuesto disponible para la mitigación